transmission:ssl

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
transmission:ssl [2018/05/26 14:03]
sthibaul [Le sujet]
transmission:ssl [2019/07/13 12:33] (Version actuelle)
bikepunk ↷ Liens modifiés en raison d'un déplacement.
Ligne 1: Ligne 1:
-====== Le sujet ======+====== SSL ======
  
-SSL (Secure Socket Layer) est une surcouche que l'on peut facilement appliquer aux services Internet pour chiffrer les données. Ainsi https est http+ssl, imaps est imap+ssl, etc. Elle est indispensable dès lors que l'on transmet un mot de passe pour s'authentifier auprès du service, pour éviter que quelqu'un interceptant la communication puisse lire le mot de passe. Elle est aussi utile pour que celui-ci ne sache pas ce que l'on fait du service (voir [[formations:vie-privee|Vie privée]]).+SSL (Secure Socket Layer) est une surcouche que l'on peut facilement appliquer aux services Internet pour chiffrer les données. Ainsi https est http+ssl, imaps est imap+ssl, etc. Elle est indispensable dès lors que l'on transmet un mot de passe pour s'authentifier auprès du service, pour éviter que quelqu'un interceptant la communication puisse lire le mot de passe. Elle est aussi utile pour que celui-ci ne sache pas ce que l'on fait du service (voir [[transmission:vie-privee|Vie privée]]). 
 + 
 +La difficulté est d'être sûr que la [[transmission:chiffrement|clé de chiffrement]] utilisée pour protéger les données est bien celle du service auquel on s'adresse, et non d'un intermédiaire. On pourrait appeler au téléphone quelqu'un du service pour vérifier l'empreinte de la clé, mais c'est un fonctionnement qui ne passe pas à l'échelle dès qu'il y a des milliers d'abonnés :) 
 + 
 +Il y a deux principaux modes de fonctionnement: 
 + 
 +  * TOFU (Trust On First Use) La première fois qu'on se connecte, on parie qu'il n'y a pas d'interception, et le logiciel note dans un coin la clé. Si plus tard le logiciel constate que la clé a changé, il montre un gros avertissement pour indiquer que peut-être il y a une interception en cours, ou bien que peut-être simplement le service a été réinstallé avec une nouvelle clé. Cela fonctionne donc aussi de manière plutôt limitée. 
 +  * CA (Certificate Authority): un tiers de confiance, appelé CA, signe un certificat qui certifie que la clé est la bonne. Autrement dit, on déporte la question de confiance: plutôt qu'avoir à appeler au téléphone quelqu'un du service pour vérifier la clé du service, il suffit d'avoir la clé du CA pour vérifier que la clé du service est la bonne. Bien sûr cela ne fait que déplacer le problème: comment avoir la clé du CA ? Il se trouve qu'elle est préinstallée sur les systèmes d'exploitation et navigateurs web de nos ordinateurs. Nos ordinateurs font donc /par défaut/ confiance à quelques centaines de CA, à notre place. Bien sûr, si un CA se met à signer des certificats bidon, on ne peut plus lui faire confiance. C'est une des raisons pour lesquelles il faut faire les mises à jour, pour éliminer la clé d'un CA qui se mettrait à faire n'importe quoi (oui, cela arrive).
  
 ===== Voir aussi... ===== ===== Voir aussi... =====
  
-[[formations:chiffrement]],[[formations:vie-privee]]+[[transmission:chiffrement]],[[transmission:vie-privee]] 
 + 
 + 
 +===== Articles grand public =====
  
 +  * Éventuellement des liens vers des articles grand public
  
 ===== Vidéo grand public ===== ===== Vidéo grand public =====
  
-  * Éventuellement une vidéo grand public+[[https://www.youtube.com/watch?v=Fqvo6M2d5IQ|Le chiffrement sur le web (HTTPS)]]
  
 ===== Tutoriel ===== ===== Tutoriel =====
Ligne 26: Ligne 37:
 ===== Documentation ===== ===== Documentation =====
  
-  * Éventuellement des liens vers de la documentation poussée+  * [[documentation:cacert_client_federes|Documentations des fédérés]
  • transmission/ssl.1527336221.txt.gz
  • Dernière modification: 2018/05/26 14:03
  • de sthibaul